Qui n’a jamais eu envie comme Sheldon Cooper de construire une centrale nucléaire dans le garage familial ? Il faut pour cela de l’uranium composé de ses isotopes : 238U et 235U. Seul ce dernier est fissile, c’est-à-dire capable de se scinder sans apport d’énergie externe. Pour obtenir une réaction en chaîne, il doit être confiné dans une quantité suffisante.
La fission scinde l’uranium en 2 atomes plus légers et éjecte de l’énergie et un neutron capable de déséquilibrer un autre atome d’uranium. Pour obtenir l’235U, il faut éjecter du bloc d’uranium un maximum d‘238U. Lorsque le produit contient entre 3 et 5% d’235U, il peut être utilisé dans le cœur d’une centrale nucléaire pour produire de l’énergie.
C’est pour la théorie. Je détaillerai bien ce domaine qui nécessite bien plus qu’une description de 2 paragraphes mais mon domaine est l’informatique et non la physique nucléaire. Ce qui m’intéresse c’est une histoire de sabotage industriel des plus audacieuse de notre époque : l’affaire Stuxnet.
Comme dans tout film américain, il faut un méchant, ici le régime iranien. Sous prétexte de vouloir fournir une énergie électrique bon marché et non polluante à son peuple, ils décident d’investir dans le nucléaire civil. Le gouvernement américain se doute qu’il ne faudra pas longtemps pour détourner la technologie vers un usage militaire.
Dans la plus grande discrétion, le gouvernement Bush décide de lancer une opération pour saboter le programme nucléaire. Après différentes opérations d’espionnage, ils reconstituent notamment le matériel nécessaire à l’enrichissement de l’uranium, des centrifugeuses fournies par Siemens. Reste à savoir comment les saboter.
Les centrifugeuses sont pilotées par des ordinateurs. L’idée est donc de fausser le programme de contrôle pour empêcher l’enrichissement. Des ingénieurs israéliens s’entraînent sur les équipements récupérés pour adapter l’algorithme de sabotage. Ce dernier se doit de ne pas éveiller les soupçons des ingénieurs nucléaires iraniens.
Un virus est donc créé pour modifier le programme de contrôle et faire varier la vitesse des centrifugeuses tout en affichant des informations fausses mais rassurantes. Pour masquer sa présence, il n’est pas tout le temps actif.
Le virus se doit d’être installé sur les ordinateurs de contrôle. Il utilise donc des failles dites ‘Zero days’ (non connues des logiciels d’anti-virus) pour s’installer à l’insu des logiciels de protection.
Vous imaginez que les ordinateurs d’une centrale nucléaire ne sont pas connectés à Internet. C’est par ingénierie sociale que le logiciel entrera sur le site cible. Il se propagera à travers le réseau du site nucléaire jusqu’à atteindre les ordinateurs de contrôle des centrifugeuses. Et le programme nucléaire sera saboté de 2008 à 2010.
Enchaînant les enquêtes, les autorités iraniennes ne trouvent pas la raison des échecs de leur programme d’enrichissement. L’ordinateur d’un consultant informatique va être contaminé par le virus. En rentrant à son entreprise, ce dernier relâche involontairement le virus sur Internet.
En parallèle, l’équipe de développeurs israéliens fait évoluer le virus pour chercher d’autres opportunités. Je ne suis pas sûr que les aigles américains apprécient. Et le virus se répand sur la toile, gagnant le surnom de Stuxnet. Devant la complexité de la menace, des chercheurs vont alors faire le rapprochement avec les centrifugeuses Siemens.
Les antivirus se mettent à jour, Microsoft corrige les failles découvertes et l’opération est rapidement éventée. Ce qui devait être une opération de sabotage se transforme en une pantalonnade au profit de l’Iran qui passe pour victime tout en relançant son programme nucléaire militaire dans le dos des autres pays.
Espionnage, cyber-sécurité, faille, exploit, présidents américains, armes nucléaires … cela aurait pu faire un bon film. Mais le trailer de Zero Days donne plus l’impression d’un documentaire nanardesque qui joue plus sur les peurs d’une catastrophe nucléaire que sur la réalité.
Je suis fasciné par l’ingéniosité des saboteurs. Je vous laisse avec cette vidéo qui résume de manière intelligente et détaillée toute l’affaire. Avec toutes ces recherches, je vais avoir l’Autorité de Sûreté Nucléaire sur le dos.